AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Campañas de malvertising distribuyen extensiones falsas para robar credenciales en redes sociales

admin

Introducción

En el panorama actual de amenazas, los ataques dirigidos a usuarios de plataformas sociales siguen evolucionando en sofisticación y alcance. Recientemente, investigadores de Bitdefender han detectado dos campañas activas que explotan la publicidad maliciosa (malvertising) y sitios web fraudulentos para distribuir extensiones de navegador falsas. Estas extensiones, bajo la apariencia de herramientas legítimas, tienen como objetivo el robo de credenciales y datos sensibles de usuarios de Facebook e Instagram, poniendo en jaque la seguridad de empresas y particulares.

Contexto del Incidente

El vector principal de estas campañas es la distribución de extensiones fraudulentas a través de anuncios maliciosos en buscadores y plataformas de publicidad online. Los ciberdelincuentes aprovechan términos de búsqueda populares relacionados con la obtención del distintivo azul de verificación («Meta Verified») en Facebook e Instagram para atraer a víctimas potenciales. Según Bitdefender, al menos 37 anuncios maliciosos han sido identificados redirigiendo a los usuarios a webs clonadas que simulan ser portales oficiales de Meta o herramientas de gestión social.

El señuelo más utilizado es una supuesta extensión llamada «SocialMetrics Pro», que promete desbloquear la verificación de cuentas en plataformas Meta. El objetivo final es engañar a los usuarios para que instalen la extensión y, posteriormente, capturar credenciales, tokens de sesión y otra información sensible.

Detalles Técnicos

Las campañas detectadas emplean técnicas de malvertising mediante la compra de espacios publicitarios en motores de búsqueda y redes sociales. Los anuncios suelen posicionarse en los primeros resultados para búsquedas como «Meta Verified», «verificación Facebook», «obtener check azul Instagram», etc. Al hacer clic, el usuario es redirigido a dominios registrados recientemente que imitan la estética y el flujo de autenticación de Meta.

La extensión maliciosa «SocialMetrics Pro» está disponible para navegadores basados en Chromium (Chrome, Edge, Brave, Opera), y se instala fuera de las tiendas oficiales, esquivando parcialmente los controles de seguridad de Google y Microsoft. Una vez instalada, la extensión solicita permisos excesivos, incluyendo acceso a todas las páginas visitadas y a la gestión de contraseñas.

El análisis de Bitdefender revela que el código de la extensión contiene funciones para la interceptación de formularios de login, la exfiltración de cookies de sesión y la monitorización de tráfico HTTP(S). Se han identificado indicadores de compromiso (IoC), como hashes de archivos, direcciones URL y nombres de dominio utilizados en la campaña.

Aunque no se ha asignado un CVE específico a esta amenaza (al tratarse de ingeniería social y abuso de permisos legítimos), los TTPs observados se alinean con técnicas MITRE ATT&CK como:

– T1185 (Browser Extensions)
– T1566 (Phishing)
– T1204 (User Execution: Malicious Link)
– T1056 (Input Capture)

No se descarta el uso de frameworks como Metasploit o Cobalt Strike en fases posteriores para movimientos laterales o persistencia en entornos corporativos.

Impacto y Riesgos

El impacto de estas campañas es significativo tanto para usuarios individuales como para empresas. La obtención de credenciales de acceso puede derivar en:

– Secuestro de cuentas corporativas de redes sociales, con potencial para campañas de desinformación o fraude.
– Acceso a información confidencial, conversaciones privadas o datos personales protegidos por GDPR.
– Uso de cuentas comprometidas para propagar malware o phishing dentro de la red de contactos.
– Riesgo de daño reputacional y sanciones regulatorias bajo NIS2 y GDPR en caso de brechas no notificadas.

Bitdefender estima que, durante las primeras semanas, decenas de miles de usuarios han estado expuestos a los anuncios maliciosos, con una tasa de infección estimada superior al 3%. Las pérdidas económicas asociadas a fraudes derivados y recuperación de cuentas pueden superar los 500.000€ en entornos empresariales.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a estas campañas, los expertos recomiendan:

– Restringir la instalación de extensiones únicamente desde tiendas oficiales (Chrome Web Store, Microsoft Edge Add-ons).
– Implementar políticas de control de aplicaciones (Application Control) y whitelisting de extensiones en entornos corporativos.
– Monitorizar logs de acceso a cuentas de redes sociales y activar autenticación multifactor (MFA).
– Desplegar soluciones EDR y control de navegación para bloquear dominios maliciosos conocidos.
– Concienciar a los usuarios sobre los riesgos de instalar extensiones no verificadas y la existencia de campañas de malvertising.

Opinión de Expertos

Alfonso Muñoz, investigador sénior de ciberseguridad, destaca: “La sofisticación de los ataques de malvertising exige a las empresas implementar controles técnicos y formativos. El abuso de extensiones legítimas es un vector que, por su baja visibilidad, sigue siendo eficaz para los atacantes”.

Por su parte, Bitdefender subraya la importancia de la colaboración con proveedores de publicidad online para detectar y eliminar anuncios maliciosos antes de que lleguen a los usuarios finales.

Implicaciones para Empresas y Usuarios

El uso fraudulento de extensiones de navegador pone de manifiesto la necesidad de fortalecer los procesos de gestión de identidades y accesos, así como la revisión periódica de configuraciones en navegadores corporativos. Bajo marcos regulatorios como GDPR y NIS2, las organizaciones están obligadas a reportar incidentes de seguridad que puedan afectar a datos personales o servicios esenciales.

Para los usuarios, la recomendación es clara: desconfiar de cualquier oferta de verificación rápida o ventajas exclusivas fuera de los canales oficiales de Meta, y revisar periódicamente las extensiones instaladas en sus navegadores.

Conclusiones

Las campañas recientes de malvertising orientadas al robo de credenciales mediante extensiones falsas demuestran la continua evolución de las amenazas en el entorno digital. La prevención pasa por una combinación de controles técnicos, formación y colaboración entre actores del ecosistema digital. La vigilancia activa y la respuesta rápida son esenciales para minimizar el impacto y proteger tanto a usuarios como a organizaciones frente a estas tácticas cada vez más sofisticadas.

(Fuente: feeds.feedburner.com)